Bollettino del Garante privacy

Il Misseri Blowing è uno strumento importante per la lotta alla corruzione perché consente ad un dipendente di un'azienda o di una pubblica amministrazione di segnalare possibili comportamenti illeciti
Di cui dovesse venire a conoscenza della sua attività restando però anonimo
E dunque indispensabile proteggere l'identità di chi segnala irregolarità e fare in modo che i suoi dati personali siano decisi con sistemi di sicurezza adeguati il datore di lavoro pubblico e privato non deve quindi limitarsi a predisporre sistemi tecnici e organizzativi per l'acquisizione della gestione di questo tipo di segnalazioni
Ma deve verificare che le misure adottate e i software utilizzati siano sicuri e adeguate a tutelare la riservatezza di chi viaggia e denunce
Proprio quello che non ha fatto una università italiana che è stata sanzionata dal Garante privacy per una farla che è reso accessibili on line i dati identificativi di un dipendente e di una studentessa che aveva segnalato all'ateneo possibili illeciti
La vicenda risale al due mila diciotto quando l'università comunica al Garante la diffusione di dati personali attraverso la piattaforma fornita da una società esterna di cui si servì all'ateneo per la raccolta e la gestione delle segnalazioni
Il dato Albricci aveva dichiarato l'università si era verificato a causa di un aggiornamento del software aggiornamento che aveva provocato la sovrascrittura accidentale dei permessi di accesso
Ad alcune pagine web interne dell'applicativo usato appunto per in questo libro era stato così
Possibile per chiunque consultare i nomi cognomi indirizzi mail numero di telefono sede dato che la segnalazione dei due whistleblower
E pagine web che contenevano queste informazioni che avrebbero ovviamente dovuto rimanere si disertate erano state indicizzati dai motori di ricerca come Google Yahoo
La grande violazione dei dati personali era stato dunque causata dall'assenza di sistemi in grado di limitare la consultazione delle segnalazioni solo al personale autorizzata
Invece di mettere in atto misure tecniche organizzative per garantire un livello di sicurezza adeguato al rischio
Per i diritti e le libertà dei segnalanti l'università si era limitato a recepire le scelte progettuali dell'azienda che aveva fornito l'applicativo vissuto scelte che non prevedevano la cifratura dei dati né l'adozione di un protocollo di trasmissione sicura
Per questi motivi alla fine dell'istruttoria è arrivata la sanzione di trenta mila euro del garante una sanzione
Che tiene dunque conto del numero limitato delle persone coinvolte cioè i due questi blog e del fatto che l'università attivamente collaborato nel corso dell'istruttoria